火绒的通讯防护有什么用

我的热情

设置里全部默认为放行  开启和不开启有什么区别呢？

iippuiui

算是防火墙的吧？

biange200

这算防护吗 全部允许放行

聽莧

同问，竟然是全部允许的

找不到名字

我的也是，不知道这个有什么用，求火绒官人解释一下

砂时计

     防火墙的一种功能， ICMP是网络层协议，这设置一般用来防御Dos攻击和路由欺骗技术，嫌麻烦默认就好，有兴趣可以看看下文。
Echo Request和Reply（类型8和0）：
　　允许Echo Request消息出站以便于内部用户能够PING一个远程主机。阻止入站Echo Request和出站Echo Reply可以防止外部网络的主机对内部网络进行扫描。如果您使用了位于外部网络的监视器来监视内部网络，就应该只允许来自于特定外部IP的Echo Request进入您的网络。限制ICMP Echo包的大小可以防止“Ping Floods”攻击，并且可以阻止那些利用Echo Request和Reply来“偷运”数据通过防火墙的木马程序。
Destination unreachable （类型3）：
　　允许其入站以便于内部网用户可以使用traceroute。需要注意的是，有些攻击者可以使用它来进行针对会话的DoS攻击，如果您曾经历过类似的攻击，也可以阻止它。阻止出站的ICMP Destination unreachable消息，因为它可能会泄漏内部网络的结构。不过有一个例外，对于那些允许外部网络通过TCP访问的内部主机（如位于DMZ区的Web 服务器）发出的Destination unreachable，则应该允许它通过。为了能够支持“Path MTU Discovery”，您应该允许出站的“Packet Too Big”消息（类型3，代码4）到达那些主机。
Source quench（类型4）：
　　阻止其入站，因为它可以作为一种DoS攻击，能够降低发送者的发送速度。允许其出站以便于内部主机能够控制发送端发送数据的速度。有些防火墙会忽略所有直接发送到防火墙端口的Source Quench消息，以防止针对于防火墙的DoS攻击。
Redirect（类型5，9，10）：
　　Redirect、Router announcement、 Router selection（类型5，9，10）：这些消息都存在潜在危险，因为它们可以用来把数据重定向到攻击者的机器。这些消息都应该被阻止。
TTL exceeded（类型11）：
　　允许其进站以便于内部用户可以使用traceroute。“firewalking”使用很低的TTL值来对网络进行扫描，甚至可以通过防火墙对内网进行扫描，所以应该禁止其出站。一些防火墙可以阻止TTL值小于设定值的数据包进入防火墙。
Parameter problem（类型12）：
　　禁止其入站和出站。通过使用一个能够进行数据包一致性检查的防火墙，错误和恶意的数据包都会被阻塞。

     一般除了出站的ICMP Echo Request、出站的ICMP Source Quench、进站的TTL Exceeded和进站的ICMP Destination Unreachable之外，所有的ICMP消息类型都应该被阻止。

@聽莧   @iippuiui   @biange200  @我的热情  @找不到名字

biange200

砂时计 发表于 2014-1-25 20:47
防火墙的一种功能， ICMP是网络层协议，这设置一般用来防御Dos攻击和路由欺骗技术，嫌麻烦默认就好，有 ...

除了你所说的 其他的火绒都放行了  是不是需要除了你刚才说的  其他都阻止啊

砂时计

biange200 发表于 2014-1-25 20:57
除了你所说的 其他的火绒都放行了  是不是需要除了你刚才说的  其他都阻止啊

普通用户大多数只会遇见宽带DoS攻击，但是营运商的服务器通常有防火墙规则，一般人很少见这类攻击，所以默认放行也无所谓。对服务器和局域网的用户可能有点用。

聽莧

砂时计 发表于 2014-1-25 20:47
防火墙的一种功能， ICMP是网络层协议，这设置一般用来防御Dos攻击和路由欺骗技术，嫌麻烦默认就好，有 ...

感謝科普

找不到名字

砂时计 发表于 2014-1-25 20:47
防火墙的一种功能， ICMP是网络层协议，这设置一般用来防御Dos攻击和路由欺骗技术，嫌麻烦默认就好，有 ...

3q，我就记得以前老版本的火绒墙就不是全部放行的，ping开了火绒的机子都ping不通的。那意思这个通讯防护其实对于普通的用户没有多大用处吧。